[SR4] Privilege Escalation?

Kann man so machen, nur lohnt sich das dann nicht, weil es dann niemand tut: Es ist genauso gut/schlecht wie externes Hacken, aber mit der Chance, dass IC/Spiders einen bemerken.

Prinzipiell ist es sowieso unnötig, da man Aktionen über den eigenen Nutzer-Rechten ausführen kann sobald man Hacking statt Computer verwendet.

Admin sein hat durchaus seine Vorteile, vor allem wenn man immer wieder Zugriff braucht.

Zur Vorgehensweise:
- Suche der Benutzerverwaltung
- Passwort knacken
- ggf. Datenbombe entschärfen
- is_admin von 0 auf 1 setzen.

Die Beispiele in denen es angegeben ist, steigt der Mindestwurf immer um 1. Problematischer ist eher die vergleichende Probe zwischen Firewall + Analyse gegen Hacking + Stealth, die ebenfalls durchgeführt werden muss bei solchen Sachen.

Beste Idee ist es immer noch reinhacken, Adminaccount erstellen, ausloggen, normal in Adminaccount einloggen, dann dort rumfuhrwerkeln, anschließend Log editieren und Tschüss! Keine vergleichenden Proben und kein Stress beim AccessLog löschen (nur doof, wenn der Accesslog auf anderem Server liegt...)

Grüße,
Coldan

Oder eine sicherheitsbewusste Spider feststellt, dass da ein Adminaccount zuviel rumwerkelt und was dagegen unternimmt.

Dann lieber einen normalen versteckten Account und mit Hacken rangehen. Oder einen versteckten Access Point.

"Chaki" schrieb:

Oder eine sicherheitsbewusste Spider feststellt, dass da ein Adminaccount zuviel rumwerkelt und was dagegen unternimmt.

Dann lieber einen normalen versteckten Account und mit Hacken rangehen. Oder einen versteckten Access Point.

Das ist ja die vergleichende Probe von Host und Hacker. Dennoch würde ich alle paar minuten IP einen Scan vom Host durchführen, da er sichergehen will, das niemand es geschafft hat sich unbemerkt einzuhacken.

Ist es nicht. Die Probe der Spider ist eine eigene. Die vergleichende Probe beim Proben und Brute-Force ist rein die automatische Sicherheit der Firewall.

Kosta
Denkt ihr auch bitte dran, das man auch noch Pass-Keys hat, d.h. eventuell ist das Adminrecht an einen Hardware-Key gekoppelt, und dann ist weder dieser noch der andere (offizielle) Weg möglich, an den Adminstatus zu kommen, ohne die nötige Hardware. Siehe dazu das Sicherheitskapitel im Unwired.

"Chaki" schrieb:

Ist es nicht. Die Probe der Spider ist eine eigene. Die vergleichende Probe beim Proben und Brute-Force ist rein die automatische Sicherheit der Firewall.

Also der einfacheit halber, ist es so, das wenn es ne Spinne gibt, dessen System+Aufspüren zu nehmen. Denn rein theoretisch, könntest du für jedes Sicherheits-IC ne Probe würfel. Aber da das einfach zu aufwendig wär, hat man es auf eine reduziert. Desswegen...

Wenn die Spinne aktiv das System überwacht nimmt man seine Werte, wenn das System auf Auto-Detect steht, nimmt man das System des Hosts.

Oder würfelst du immer Host und Spider gegen den Hacker?

Nein. IC und Spider die aktiv sind dürfen gerne die entscheidung treffen, einmal rundzuscannen ob eh alles in Ordnung ist.
Das Entdecken und Abwehren von Eindringlinge handelt die Firewall alleine ab mit dem für sie bereit gestellten Analyse Tool.

"Ultra Violet" schrieb:

Denkt ihr auch bitte dran, das man auch noch Pass-Keys hat, d.h. eventuell ist das Adminrecht an einen Hardware-Key gekoppelt, und dann ist weder dieser noch der andere (offizielle) Weg möglich, an den Adminstatus zu kommen, ohne die nötige Hardware. Siehe dazu das Sicherheitskapitel im Unwired.

DAS habe ich mich eh gefragt. Wo genau steht das? Es sind seitenlang Passkeys beschrieben, aber nicht, wie die GENAU wirken. Zumindest hab ich da nix gefunden. Ich dachte bisher, mit Exploit braucht man eben keine Passkeys.

"Ultra Violet" schrieb:

Kosta
Denkt ihr auch bitte dran, das man auch noch Pass-Keys hat, d.h. eventuell ist das Adminrecht an einen Hardware-Key gekoppelt, und dann ist weder dieser noch der andere (offizielle) Weg möglich, an den Adminstatus zu kommen, ohne die nötige Hardware. Siehe dazu das Sicherheitskapitel im Unwired.

Ok, ich hab gerade nochmal die relevanten Abschnitte im GRW und Unwired durchgelesen. Da steht eigentlich ganz klar:

"Unwired p.65" schrieb:

Hacking and Authentication
When a character hacks into a node, whether on the fly or by probing, she is actually circumventing normal authentication routines and setting up a fake account that the system believes has access at the privilege level the hacker chose at the start of the attempt. This account is almost never perfect, but the node accepts it as legitimate. Patrolling IC or spiders can discover the forgery by making a Matrix Perception Test against the hacker. The Stealth program helps counteract such snooping, but a hacker cannot expect to be able to use a hacked account indefinitely (see Account Privileges, p. 52).

Mit Linked passkeys ist das natürlich schwieriger:

"Unwired p.64/65" schrieb:

No matter what kind of passkey is used, systems that utilize passkeys do not merely check for proper authorization on initial entry into the system. The passkey information is registered with every action in the node’s access log. This makes hacking into such nodes far more difficult if the session lasts longer than the next access log update; the hacker is detected and an active alert initiated when the access log shows that the hacker lacks the passkey data. To avoid detection, the hacker can edit the access log to hide the discrepancy. The use (or lack thereof ) of a passkey that matches the passkey system on a node can also be detected by a security hacker who has access to the passkey system with a successful Matrix Perception Test.

Also zusammenfassung: Unabhängig davon, ob der echte Admin ne magische Schlumpfinen-Tätowierung auf der linken Arschbacke braucht, um reinzukommen, der Hacker hackt halt und gut ist. Allerdings muss er das Log fälschen, sonst gibts Probleme. Und wer sein Stealth durchschaut, blickts auch. Oder hab ich was übersehen?